الوجبات الجاهزة الرئيسية
- سلط تقريران حديثان الضوء على أن المهاجمين يلاحقون بشكل متزايد الحلقة الأضعف في سلسلة الأمان: الأشخاص.
- يعتقد الخبراء أن الصناعة يجب أن تقدم عمليات لجعل الناس يلتزمون بأفضل الممارسات الأمنية.
-
يمكن للتدريب المناسب تحويل مالكي الأجهزة إلى أقوى مدافعين ضد المهاجمين.
يفشل الكثير من الناس في تقدير حجم المعلومات الحساسة في هواتفهم الذكية ويعتقدون أن هذه الأجهزة المحمولة بطبيعتها أكثر أمانًا من أجهزة الكمبيوتر ، وفقًا للتقارير الأخيرة.
أثناء سرد أهم المشكلات التي تعاني منها الهواتف الذكية ، تشير التقارير الواردة من Zimperium و Cyble إلى أنه لا يوجد قدر كاف من الأمان المدمج لمنع المهاجمين من اختراق الجهاز إذا لم يتخذ المالك خطوات لتأمينه.
"التحدي الرئيسي ، كما أجد ، هو أن المستخدمين يفشلون في إجراء اتصال شخصي بين أفضل الممارسات الأمنية وحياتهم الشخصية ،" قال أفيشاي أفيفي ، CISO في SafeBreach ، لـ Lifewire عبر البريد الإلكتروني. "بدون فهم أن لديهم مصلحة شخصية في جعل أجهزتهم آمنة ، ستستمر هذه المشكلة".
تهديدات الجوال
ناصر فتاح ، رئيس اللجنة التوجيهية لأمريكا الشمالية في التقييمات المشتركة ، قال لـ Lifewire عبر البريد الإلكتروني أن المهاجمين يلاحقون الهواتف الذكية لأنها توفر سطح هجوم كبير للغاية وتوفر متجهات هجوم فريدة ، بما في ذلك التصيد عبر الرسائل القصيرة أو الرسائل النصية القصيرة.
علاوة على ذلك ، يتم استهداف مالكي الأجهزة العاديين لأنه من السهل التلاعب بهم.للتغلب على البرامج ، يجب أن يكون هناك عيب غير معروف أو لم يتم حله في الكود ، لكن أساليب الهندسة الاجتماعية "النقر والطعم" دائمة الخضرة ، كما قال كريس جويتل ، نائب رئيس إدارة المنتجات في Ivanti ، لـ Lifewire عبر البريد الإلكتروني.
بدون فهم أن لديهم مصلحة شخصية في جعل أجهزتهم آمنة ، ستظل هذه مشكلة.
يشير تقرير Zimperium إلى أن أقل من نصف (42٪) الأشخاص قد طبقوا إصلاحات ذات أولوية عالية في غضون يومين من إصدارهم ، و 28٪ مطلوبة لمدة تصل إلى أسبوع ، بينما استغرق 20٪ ما يصل إلى أسبوعين تصحيح هواتفهم الذكية.
"المستخدمون النهائيون ، بشكل عام ، لا يحبون التحديثات. فهم غالبًا ما يعطلون أنشطة عملهم (أو لعبهم) ، ويمكنهم تغيير السلوك على أجهزتهم ، وقد يتسببون في مشكلات يمكن أن تكون مصدر إزعاج أطول ،" قال جويتل
ذكر تقرير Cyble أن حصان طروادة محمول جديد يسرق رموز المصادقة الثنائية (2FA) وينتشر من خلال تطبيق McAfee مزيف.يدرك الباحثون أن التطبيق الضار يتم توزيعه عبر مصادر أخرى غير متجر Google Play ، وهو شيء لا يجب على الأشخاص استخدامه مطلقًا ، ويطلبون الكثير من الأذونات ، والتي لا يجب منحها أبدًا.
يعتقدPete Chestna ، CISO في أمريكا الشمالية في Checkmarx ، أننا سنكون دائمًا الحلقة الأضعف في الأمان. إنه يعتقد أن الأجهزة والتطبيقات بحاجة إلى حماية وشفاء نفسها أو أن تكون قادرة على تحمل الضرر لأن معظم الناس لا يمكن إزعاجهم. في تجربته ، الناس على دراية بأفضل الممارسات الأمنية لأشياء مثل كلمات المرور ولكنهم يختارون تجاهلها.
"المستخدمون لا يشترون على أساس الأمن. إنهم لا يستخدمون [ذلك] على أساس الأمن. إنهم بالتأكيد لا يفكرون أبدًا في الأمان حتى تحدث لهم أشياء سيئة شخصيًا. حتى بعد حدث سلبي ، ذكرياتهم قصيرة ، "لاحظ تشيستنا.
يمكن لمالكي الأجهزة أن يكونوا حلفاء
أتول Payapilly ، مؤسس Verifiably ، ينظر إليها من وجهة نظر مختلفة.إن قراءة التقارير تذكره بالحوادث الأمنية التي يتم الإبلاغ عنها في كثير من الأحيان ، كما أخبر Lifewire عبر البريد الإلكتروني. في هذه الحالات ، كانت AWS تعمل حسب التصميم ، وكانت الانتهاكات في الواقع نتيجة أذونات سيئة حددها الأشخاص الذين يستخدمون النظام الأساسي. في النهاية ، غيّرت AWS تجربة التكوين لمساعدة الأشخاص على تحديد الأذونات الصحيحة.
يتردد صداها مع راجيف بيمبلاسكار ، الرئيس التنفيذي لشبكات التوزيع. "يركز المستخدمون على الاختيار والراحة والإنتاجية ، وتقع مسؤولية تثقيف وإنشاء بيئة من الأمان المطلق على عاتق صناعة الأمن السيبراني ، دون المساس بتجربة المستخدم."
يجب أن تفهم الصناعة أن معظمنا ليسوا أشخاصًا أمنيين ، ولا يُتوقع منا فهم المخاطر النظرية والآثار المترتبة على الفشل في تثبيت التحديث ، كما يعتقد إيريز يالون ، نائب رئيس قسم الأبحاث الأمنية في Checkmarx. "إذا كان بإمكان المستخدمين إرسال كلمة مرور بسيطة للغاية ، فسيفعلون ذلك.إذا كان من الممكن استخدام البرنامج على الرغم من عدم تحديثه ، فسيتم استخدامه ، "شارك Yalon مع Lifewire عبر البريد الإلكتروني.
يبني Goettl على هذا ويعتقد أن الإستراتيجية الفعالة يمكن أن تتمثل في تقييد الوصول من الأجهزة غير المتوافقة. على سبيل المثال ، يمكن استخدام جهاز مكسور الحماية ، أو جهاز به تطبيق سيء معروف ، أو يقوم بتشغيل إصدار من نظام التشغيل معروف أنه مكشوف ، كمشغلات لتقييد الوصول حتى يقوم المالك بتصحيح الخطأ الأمني.
يعتقدAvivi أنه في حين أن بائعي الأجهزة ومطوري البرامج يمكنهم فعل الكثير للمساعدة في تقليل ما سيتعرض له المستخدم في النهاية ، فلن يكون هناك حل سحري أو تقنية يمكنها حقًا استبدال البرامج الرطبة.
"الشخص الذي قد ينقر على الرابط الخبيث الذي تجاوز جميع عناصر التحكم في الأمان الآلي هو نفسه الذي يمكنه الإبلاغ عنه وتجنب التأثر بـ Zero-Day أو نقطة عمياء للتكنولوجيا" ، قال أفيفي